"Klanten 'superveilige' webmailprovider zijn idioten"
Klanten van de Amerikaanse e-mailprovider StrongWebMail zijn volslagen idioten, zegt beveiligingsexpert Robert Graham. Het bedrijf organiseerde onlangs een wedstrijd, waarbij het hackers uitdaagde om de beveiliging te kraken. Een groep hackers wist uiteindelijk binnen te komen, waarop de provider besloot om een nieuwe wedstrijd te organiseren. Dit keer zou er alleen naar het sterkste gedeelte van de beveiliging gekeken mogen worden.
Volgens Graham snapt het bedrijf echter niets van beveiliging. Het lek dat gebruikt werd om het systeem te kraken was niet bijzonder, maar juist het meest voorkomende lek in webapplicaties. Het werd al meer dan tien jaar geleden gebruikt voor het kraken van webmail applicaties." Alle webmail providers zouden dit soort lekken binnen uren kunnen oplossen en niet hoeven te wachten totdat een andere organisatie het oplost, zoals met StrongWebmail het geval is. "Dit is hetzelfde als het adverteren dat je elite commando's hebt om de voordeur van je bank te beschermen, terwijl je de achterdeur openlaat. Geen enkele bank heeft commando's, maar ook geen enkele bank laat zijn achterdeur open."
De beveiligingsexpert merkt op dat het niemand iets kan schelen hoe sterk je sterkste feature is. "Waar mensen zich druk om maken, is de sterkte van je zwakste feature. Als je het hiermee vergelijkt, is StrongWebmail minder veilig dan elk ander mailsysteem en ben je een idioot als je erop vertrouwt. Het maakt niet uit hoe sterk hun sterkste schakel is als ze zoveel zwakke schakels hebben."
Ik probeer echt geen flamewar te starten, maar zit nu wel te denken aan MS vs. Linux. Beide systemen moeten steeds updates brengen omdat er openingen worden gevonden, dat is ook normaal, je kan niet alles in 1 keer goed maken. Maar ik merk wel dat MS steeds hun "sterke" punten gaat patchen en de achterdeur open laat staan of te weinig aandacht voor heeft, terwijl bij (veel) Linux distro's de achterdeur moeilijker te vinden is en er ook aandacht aan word besteed om deze op slot te krijgen.
Van mij mag Linux best een beetje obscuur blijven voor het grote publiek, en zeker niet te commercieel worden. Dan draai ik tenminste op een leuk OS zonder al te veel problemen.
Nee dan heb je blijkbaar een flink gebrek aan gekwalificeerd personeel..... en ben je een heeel klein beetje publiciteits geil.
(http://www.security.nl/artikel/29540/1/Gehackte_provider_daagt_hackers_opnieuw_uit.html)
In het gelinkte artikel zie ik staan: "you would be a fool to rely on it." Dat komt overeen met het Nederlandse "het zou dom zijn om erop te vertrouwen", en niet met "je bent een volslagen idioot".
Toen ik het bericht hierboven las vroeg ik me af wat die Robert Graham voor een botte, arrogante idioot was. Toen ik het gelinkte artikel las vond ik het lang niet zo beledigend klinken. Kan de auteur van de Nederlandse tekst zich alsjeblieft even achter de oren krabben en zich afvragen of hij/zij wel goed bezig is, of linken naar uitspraken van Robert Graham die inderdaad zo beledigend zijn voor mensen die toevallig een andere specialiteit hebben dan het beveiligen van computersystemen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
